1/ Ostatnie prognozy dotyczące komputerów kwantowych wahają się od "szyfrowanie klucza publicznego zostanie złamane za 2 lata" do "to jeszcze wiek." Oba są błędne. Mój najnowszy post wyjaśnia, co rzeczywiście wspiera publicznie znany postęp — i co powinny zrobić blockchainy w tej sprawie. Wątek poniżej 🧵

2/ W 2020 roku mało prawdopodobny jest istnienie kryptograficznie istotnego komputera kwantowego (CRQC). Nawet połowa lat 30. XX wieku to ambitny cel. Istnieją systemy z ponad 1000 kubitów, ale surowe liczby kubitów są mylące: potrzebujemy tysięcy skorygowanych błędów kubitów logicznych i ogromnych budżetów T-gate — znacznie przekraczających dzisiejsze możliwości.

3/ Główne źródło zamieszania: firmy nazywające kubity "kubitami logicznymi z korekcją błędów", gdy nie wspierają operacji niena Cliffordzie, lub w niektórych skrajnych przypadkach nie potrafią nawet korygować błędów. To poważnie wprowadziło w błąd nawet zaawansowanych obserwatorów co do tego, jak blisko jesteśmy do CRQC.

4/ Powszechny błąd podczas omawiania zagrożeń kwantowych: traktowanie wszystkich prymitywów kryptograficznych w ten sam sposób. Szyfrowanie, podpisy i SNARKi mają bardzo różne profile ryzyka.

5/ Najwyraźniejszym ryzykiem w krótkim okresie jest Harvest-Now-Decrypt-Later (HNDL): przeciwnicy rejestrują zaszyfrowany ruch teraz, aby odszyfrować go, gdy istnieje CRQC.

6/ Dlatego szyfrowanie post-kwantowe (PQ) musi być wdrożone teraz, mimo kosztów/ryzyk. Chrome i Cloudflare wdrożyły hybrydowe schematy (PQ+klasyczne) dla TLS; iMessage i Signal dla wiadomości. HNDL nie pozostawia wyboru dla danych wymagających długoterminowej poufności, nawet jeśli kwantowe technologie są jeszcze dziesięciolecia w przyszłości.

7/ Podpisy są różne: nie ma poufności w "zbieraniu." Podpis stworzony przed istnieniem CRQC nie może być sfałszowany retroaktywnie. Różne ryzyko ⇒ różna pilność.

8/ Dziś blockchainy używają podpisów do autoryzacji, a nie szyfrowania. Bez ekspozycji na HNDL możemy być świadomi migracji podpisów PQ.

9/ Dzisiejsze podpisy PQ pozostawiają wiele do życzenia: ML-DSA ≈2.4–4.6 KB, Falcon ≈666 B–1.3 KB (ale trudne do poprawnej implementacji), SPHINCS+ ≈7–8 KB+. Dla porównania, ECDSA to zaledwie ~64 bajty. Większe/wolniejsze/bardziej złożone ⇒ wyższe ryzyko błędów.

10/ Należy zachować ostrożność: Rainbow (oparty na MQ) oraz SIKE/SIDH (oparty na izogenii) zostały złamane klasycznie podczas procesu NIST. Przedwczesne wdrożenie może przynieść odwrotny skutek.

11/ Web PKI dąży do podejścia "najpierw szyfrowanie, potem podpisy" z dokładnie tych powodów. Blockchainy powinny podążać za tym trendem.

12/ zkSNARKs? Dobre wieści: nawet nie-PQ SNARKi mają post-kwantową zerową wiedzę. Nic o świadku nie jest ujawniane, nawet przed kwantowymi przeciwnikami. To, co staje się wrażliwe po CRQC, to solidność (fałszowanie nowych fałszywych dowodów), a nie poufność czy solidność przeszłych dowodów.

13/ Kluczowy punkt: przez wiele lat, błędy i ataki implementacyjne (kanały boczne, wstrzykiwanie błędów) będą większym ryzykiem niż CRQC. Dotyczy to SNARK-ów, schematów agregacji podpisów, a nawet samych podpisów. Inwestuj w audyty, fuzzing i metody formalne.

14/ Specjalne wyzwania Bitcoina: wolne zarządzanie, brak pasywnej migracji oraz niebagatelna porzucona podaż na adresach wrażliwych na kwantowe ataki o wysokiej wartości.

15/ Nie ma łatwego rozwiązania. Bitcoin musi poważnie potraktować to zagrożenie — nie dlatego, że CRQC-y nadchodzą przed 2030 rokiem, ale dlatego, że zajęcie się tymi głównie nietechnicznymi kwestiami wymaga lat koordynacji.

16/ Co robić: ✅ Wdróż teraz hybrydowe szyfrowanie PQ ✅ Użyj teraz hybrydowych podpisów opartych na haszach, gdzie rozmiar jest akceptowalny (aktualizacje oprogramowania/firmware) ✅ Dla blockchainów: nie spiesz się z podpisami PQ - ale zaplanuj ścieżki migracji

17/ Łańcuchy prywatności, które szyfrują szczegóły transakcji, powinny priorytetowo traktować szyfrowanie PQ (lub projekty unikające odszyfrowywalnych sekretów na łańcuchu), aby zredukować ryzyko HNDL. Łańcuchy skoncentrowane na podpisach mogą wprowadzać podpisy PQ w miarę dojrzewania technik agregacji i implementacji.

18/ Zachowaj perspektywę: paradoksalnie, częste ogłoszenia o kamieniach milowych w kwantowej technologii ≠ bliskość do CRQC. Podkreślają, ile mostów jeszcze trzeba pokonać.

19/ Podsumowanie: dopasuj pilność do rzeczywistych zagrożeń. Szyfrowanie: pilne (HNDL). Podpisy: celowe. SNARKi: właściwość ZK pozostaje bezpieczna; solidność narażona po CRQC. A przede wszystkim, błędy pozostają większym ryzykiem w krótkim okresie.